TCGがネットワークアクセス制御のフレームワークTNCの中で新規格IF-MAPを発表。
Interop NAC Dayでのデモ参加企業はJuniper、Aruba、ArcSight, Microsoftなど。
IF-MAPサーバはInfoblox。
Trusted Computing Group: Interop Las Vegas 2008
IF-MAP is a central nervous system for network security. It provides a standard way for network security components to securely share information about users, devices, and security incidents on the network. By sharing information, security components can act in a more intelligent manner. For example, peer-to-peer file sharing may be normal and permitted for one group of users but not for another.IF-MAPはネットワークセキュリティの中枢神経となる。 ネットワークセキュリティのパーツ同士が、ユーザや機器、セキュリティ事故などの情報を安全に共有するための標準的な方法を規定する。 情報共有によってセキュリティのパーツはよりインテリジェントに機能することができる。 たとえば、P2Pのファイル共有を、あるユーザグループには許可して別のグループには禁止する、といったことができる。
MAPはMetadata Access Pointの略らしい。
標準仕様としては、
TNC IF-MAP binding for SOAP
という文書で公開されている。
https://www.trustedcomputinggroup.org/specs/TNC/TNC_IFMAP_v1_0_r25.pdf
Specification Version 1.0 Revision 25 28 April 2008 Published
SOAPなんだ。
データもXMLで、IF-MAP Schemaというものが規定されている。
動き方としては、検疫エージェントなどが端末の状態を検査した結果をIF-MAPサーバに送って、IF-MAPサーバはMAC、IPアドレス、ユーザ認証情報などとともに保存する。 ポリシー違反などがあればIF-MAPサーバを介してflow controllerと呼ばれる機器(ファイアウォールなど)に通知し、その端末をブロックする。
面白いなあ。
これで、シスコが失敗したNACのビジョンが出来上がってくるかもしれない。
Leave a comment